Avant de pouvoir interagir avec Google Cloud les API et les services, vous devez prouver votre identité. Ce processus de validation de votre identité est appelé authentification.
Pour vous authentifier auprès de Google Cloud, vous devez fournir des identifiants comme preuve de votre identité. Par exemple, pour utiliser un service, vous pouvez vous authentifier à l'aide d'identifiants tels qu'un mot de passe et un code à usage unique.
Google Cloud fait référence aux utilisateurs authentifiés en tant que comptes principaux. Lorsque vous tentez d' accéder à une ressource telle qu'un Google Cloud projet ou un bucket de stockage, Google Cloud vérifie le niveau d'accès dont dispose votre compte principal à la ressource demandée. Ce processus est appelé autorisation et est géré par un système appelé Identity and Access Management (IAM).
Ces mêmes concepts s'appliquent au code qui effectue des tâches automatisées en votre nom, appelées charges de travail. Une charge de travail doit fournir des identifiants pour prouver son identité et s'authentifier en tant que compte principal. Google Cloud peut ensuite déterminer le niveau d'accès dont dispose la charge de travail aux ressources qu'elle a demandées.
Types de comptes principaux
Vous pouvez vous authentifier en tant que différents types de comptes principaux. Vous pouvez même utiliser différents types de comptes principaux à différentes étapes d'une tâche ou dans différents environnements de développement.
Les principaux types de comptes principaux et les identifiants qu'ils requièrent pour s'authentifier sont les suivants :
Comptes utilisateur : il s'agit de comptes Google permettant aux utilisateurs d'effectuer des tâches interactives, telles que des tâches administratives ponctuelles, la configuration non programmatique de Google Cloud services, des tests, des expérimentations et l'observabilité.
Vous vous authentifiez en tant que compte utilisateur avec des identifiants utilisateur, tels qu'un mot de passe et un code à usage unique.
Comptes de service : il s'agit de comptes internes à Google Cloud que les charges de travail peuvent utiliser pour accéder à des services ou à des ressources. En règle générale, vous ne vous authentifiez pas directement en tant que compte de service. Au lieu de cela, vous associez un compte de service à une ressource telle qu'une VM Compute Engine ou vous utilisez l'emprunt d'identité d'un compte de service.
Dans la plupart des cas, nous vous recommandons d'utiliser des identifiants de compte de service à courte durée de vie pour authentifier un compte de service.
Identités fédérées : il s'agit d'identités qui font référence à des comptes utilisateur ou de service dans un fournisseur d'identité externe. Il existe deux types d'identités fédérées compatibles avec Google Cloud, qui portent des noms similaires :
Fédération des identités des employés : permet aux utilisateurs de se connecter à Google Cloud avec des identités gérées par un fournisseur d'identité externe. Si votre organisation a déjà configuré l'authentification unique (SSO), vous pouvez utiliser ce type d'identité pour vous authentifier auprès de Google Cloud.
Votre fournisseur d'identité doit être compatible avec OpenID Connect (OIDC) ou SAML 2.0 pour utiliser la fédération des identités des employés.
Fédération d'identité de charge de travail: permet aux charges de travail exécutées en dehors de Google Cloud d'opérer sur Google Cloud des ressources.
Vous pouvez utiliser la fédération d'identité de charge de travail avec des charges de travail qui s'authentifient à l'aide de certificats client X.509 ; qui s'exécutent sur Amazon Web Services (AWS) ou Azure ; sur Active Directory sur site ; avec des services de déploiement tels que GitHub et GitLab ; et avec n'importe quel fournisseur d'identité compatible avec OpenID Connect (OIDC) ou le langage SAML (Security Assertion Markup Language) version 2.0.
Pour en savoir plus sur ces types de comptes principaux et d'autres types compatibles dans Google Cloud, consultez la section Types de comptes principaux.
Configurer votre Google Cloud organisation pour l'authentification
Lorsque vous configurez l'authentification pour votre Google Cloud organisation, vous devrez peut-être intégrer des systèmes et des workflows existants à Google Cloud:
Si vous disposez d'un fournisseur d'identité existant que vous souhaitez utiliser, vous devez configurer la fédération des identités des employés.
Si vous avez des charges de travail qui s'exécutent en dehors de Google Cloud et qui ont besoin d'accéder à Google Cloud des ressources, vous devez configurer la fédération d'identité de charge de travail.
Nous vous recommandons également de procéder comme suit pour sécuriser votre Google Cloud environnement :
Assurez-vous que l'authentification multifacteur est activée pour vos utilisateurs.
Vérifiez si vous devez modifier les paramètres de réauthentification.
Créez des règles pour gérer les clés API.
Créez des règles pour gérer les clés de compte de service.
Authentifier les utilisateurs et les charges de travail
La façon dont vous vous authentifiez auprès de Google Cloud dépend des API et des services que vous utilisez, ainsi que de la manière dont vous interagissez avec ces API et services.
Authentifier les utilisateurs
Lorsque vous effectuez des tâches manuelles et interactives, telles que des tâches administratives ponctuelles, la configuration de ressources, la modification de configurations, des expérimentations et la navigation dans les journaux, vous utilisez les identifiants de votre compte utilisateur pour vous authentifier.
Console
Pour les tâches interactives dans la Google Cloud console, vous vous authentifiez en vous connectant à l'interface Web avec vos identifiants utilisateur.
Accéder à la Google Cloud console
Les mêmes identifiants que ceux de votre Google Cloud session de console sont utilisés pour Cloud Shell, où vous pouvez accéder à la gcloud CLI.
gcloud
Après avoir installé la gcloud CLI sur votre appareil local, vous pouvez utiliser vos identifiants utilisateur pour vous authentifier auprès de Google Cloud en exécutant la commande suivante dans votre terminal :
gcloud auth login
Une fois que vous vous êtes authentifié, les commandes gcloud suivantes utilisent le compte principal connecté pour effectuer leurs requêtes.
Pour vous authentifier avec des identifiants de fédération des identités des employés, des identifiants de fédération d'identité de charge de travail ou des clés de compte de service, consultez la section S'authentifier pour utiliser la gcloud CLI.
Authentifier les charges de travail
Que vous développiez et exécutiez du code sur votre appareil local, dans Google Cloud, sur site ou dans un autre cloud, le moyen le plus flexible et le plus portable d'authentifier votre charge de travail consiste à fournir des identifiants via un mécanisme appelé identifiants par défaut de l'application (ADC).
Les bibliothèques qui implémentent les ADC (telles que les Google Cloud bibliothèques clientes) vérifient les emplacements connus dans l'environnement dans lequel elles sont exécutées pour les identifiants. Cela signifie que si vous modifiez l'emplacement d'exécution de votre code, vous n'avez pas besoin de modifier le code lui-même, mais uniquement les identifiants utilisés pour cet environnement.
Par exemple, lorsque vous développez en local, vous pouvez configurer votre environnement de sorte que les ADC utilisent vos identifiants utilisateur pour l'authentification. Lorsque votre code est prêt pour la production, vous pouvez le déployer sans le modifier sur une instance de VM Compute Engine et configurer l'environnement pour qu'il utilise des identifiants de compte de service à courte durée de vie pour l'authentification.
Vous ne pouvez pas utiliser les ADC pour vous authentifier dans les cas suivants :
Lors de l'authentification de la gcloud CLI.
Lorsque vous utilisez une clé API. Les clés API ne peuvent être utilisées qu'avec des API spécifiques.
Pour savoir comment configurer les ADC pour des environnements spécifiques, consultez Configurer les identifiants par défaut de l'application.
Étape suivante
Découvrez-en plus sur les différentes méthodes d'authentification pour Google Cloud.
Pour comprendre comment contrôler ce à quoi un compte principal peut accéder dans Google Cloud, consultez Autorisation et contrôle des accès.